1. 自我介绍
从项目经验
工作经历
个人技术
上面三个方面说一些就行
2. 平时学习的方式是什么,有没有系统学习过安全, web 、内网学的怎么样
学的 b 站系统的课程,加了很多学习圈子、论坛,内网只涉猎了一点,学习的不多
3.redis 未授权怎么利用,怎么弹 shell
在没有开启认证的情况下,会造成未授权访问 Redis 。攻击者在未授权访问 Redis 的情况下可以利用 Redis
设置键值对,将自己的
公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中,也可以写入 shell
可以利用 crontab 写入任务计划,反弹 shell
4. 中间件解析漏洞了解吗
刚开口就让我停了,说你知道就行,不用具体说
5.shiro550 和 721 的区别
550 的话是因为密钥用的是默认的话会被攻击者获取到。 721 的话,密钥是随机生成的,没有办法被直接
获取,只能利用 padding oracle attack (填充提示攻击)去暴破密钥
漏说了一个, 721 利用的话 remember 字段明显要长很多,不过后来我有提到说 aes 破解的难度会很大,
时间特别长
6. 怎么防御
由于这种方法需要爆破得到 key ,因此可以对短时间内多次访问的 ip 进行禁止访问操作,达到防御目的
升级至安全版本
7. 了解过应急没有,就算没有实操,有没有自己的思路
刚准备吹就被打断了,直接给了我一个攻击场景,被上传 webshell 了怎么处理
这块我只知道设备,可以看告警,上传的目录,然后进行隔离,分析上报然后溯源
Q: 如果没有设备,只给你服务器的日志怎么搞
A: 提取关键词,提取 shell 的特征筛选、过滤
Q: 特征是什么
A:asp 、 php 这种可执行脚本语言的后缀名
(其实我答偏了,说着说着把流量特征也给说了)
8. 了解过安全产品没有
我说了解过 qax 的天眼,然后问我天眼是什么,简单回答了一下
9. 客户问你天眼和 TDP (微步的态势感知平台)哪个好用你怎么讲
如果用户需要一个能够提供实战化威胁检测和响应的解决方案,特别是在高级威胁和APT攻击方面,奇安信的天眼可能更加适合。而如果用户需要一个专注于流量检测、能够自动化处置威胁并提供高精度情报检测的平台,微步在线的TDP可能是更好的选择。